Inhalt in Kürze
- Microsoft Defender for Business steckt in Microsoft 365 Business Premium (ca. 22 € pro Nutzer/Monat) bereits drin – viele KMU kaufen daneben unnötig eine zweite EDR-Lösung.
- „Bezahlt heißt nicht geschützt”: In fast allen Umgebungen, die wir übernehmen, sind die Werkzeuge lizenziert, aber nur halb konfiguriert.
- Scharf schalten in dieser Reihenfolge: 1. E-Mail → 2. Identität → 3. Gerät → 4. Cloud-Apps. E-Mail und Identität sind die größten Einfallstore.
- Defender ist kein Backup: gelöschte Postfächer sind nach 30 Tagen weg, SharePoint/OneDrive nach 93 Tagen.
Microsoft Defender for Business ist auf Millionen deutschen Firmen-Laptops bereits lizenziert – und auf den meisten nur halb scharf geschaltet. Sie zahlen für einen Schutz, der im Hintergrund schläft. Dieser Artikel zeigt Ihnen, was Defender for Business eigentlich ist und in welcher Reihenfolge Sie ihn aktivieren, ohne eine zweite Sicherheitslösung dazuzukaufen.
Microsoft Defender for Business ist die EDR für KMU bis 300 Nutzer – und in Business Premium schon bezahlt
Defender for Business ist eine Endpoint-Schutzlösung, die laut Microsoft Learn für Unternehmen mit bis zu 300 Nutzern gebaut ist und vor Ransomware, Schadsoftware und Phishing schützt. „EDR” steht für Endpoint Detection and Response. Vereinfacht: Die Software erkennt nicht nur bekannte Viren, sondern auch verdächtiges Verhalten – und kann ein betroffenes Gerät automatisch isolieren, bevor sich ein Angriff ausbreitet.
Der entscheidende Punkt für Geschäftsführer: Defender for Business ist in Microsoft 365 Business Premium enthalten. Wenn Sie Business Premium nutzen, haben Sie diese EDR schon bezahlt. Trotzdem kaufen viele Betriebe daneben ein zusätzliches Antivirus-Produkt für 3 bis 6 Euro pro Gerät – Geld, das Sie sich sparen können.
Defender for Business setzt klassischen Virenschutz nicht obendrauf, sondern ersetzt ihn. Wer parallel ein zweites Antivirus-Produkt laufen lässt, riskiert Konflikte, Performance-Probleme und doppelte Kosten – ohne mehr Sicherheit.
Häufige Verwechslung: Defender for Business ist nicht dasselbe wie Defender for Endpoint Plan 2. Beide nutzen dieselbe Erkennungs-Engine, aber Defender for Business ist die für KMU vereinfachte Variante in Business Premium. Defender for Endpoint Plan 2 bringt zusätzlich tiefes Threat Hunting und mehr Stellschrauben – sinnvoll erst für größere Umgebungen mit eigenem Security-Team.
Bezahlt heißt nicht geschützt: lizenziert, aber nur halb konfiguriert
Das ist das Muster, das wir bei fast jeder Microsoft-365-Umgebung sehen, die wir übernehmen. Die Lizenzen sind da. Die Schutzfunktionen sind da. Aber niemand hat sie eingeschaltet und sauber eingestellt.
Das ist kein Wunder. Defender for Business besteht aus mehreren Bausteinen – E-Mail-Schutz, Geräteschutz, Identitätsregeln – und die werden an unterschiedlichen Stellen im Admin Center konfiguriert. Wer das nebenbei macht, klickt einmal MFA an und hält den Rest für erledigt.
Die Bedrohung wartet derweil nicht. Das BSI zählt in Deutschland 3,1 Millionen kleine und mittlere Unternehmen – 99,4 Prozent aller Wirtschaftsunternehmen – und stellt fest, dass gerade bei KMU weiterhin „unerwartet viele Ransomware-Vorfälle” auftreten, weil elementare Schutzmaßnahmen schlicht nicht ergriffen werden. Genau diese Maßnahmen liegen bei Business-Premium-Kunden fertig im Karton.
Warum noch mehr Geld ausgeben, wenn das sowieso in der Lizenz drin ist?
Dennis KreftMicrosoft 365 & Cloud-Experte
In dieser Reihenfolge schalten Sie Defender for Business scharf: E-Mail, Identität, Gerät, Cloud
Die Reihenfolge ist kein Detail. E-Mail und Identität sind die zwei größten Einfallstore – über sie kommen die meisten Angriffe herein. Wer mit dem Geräteschutz anfängt, sichert das Fenster und lässt die Haustür offen. Deshalb arbeiten wir uns von außen nach innen vor.
- Schritt 1 – E-Mail (Defender for Office): Phishing und schädliche Anhänge sind der häufigste Erstkontakt. Defender for Office 365 Plan 1 – in Business Premium enthalten – prüft Links und Anhänge in Echtzeit, bevor sie im Postfach landen. Safe Links und Safe Attachments einschalten, Anti-Phishing-Richtlinien setzen.
- Schritt 2 – Identität (Entra ID + MFA): Drei Conditional-Access-Regeln gehören in jeden Tenant: MFA für alle erzwingen, Geräte-Compliance verlangen, veraltete Anmeldung (Basic Auth) blockieren. MFA allein reicht nicht – Angreifer umgehen sie über gestohlene Sitzungs-Cookies. Conditional Access plus Token-Schutz schließen die Lücke.
- Schritt 3 – Gerät (Defender for Endpoint): Jetzt den eigentlichen EDR-Teil aktivieren. Geräte über Intune onboarden, Virenschutz und automatische Untersuchung scharf stellen, Angriffsflächen-Reduzierung einschalten. Erst jetzt schützt Sie der Endpoint-Teil tatsächlich.
- Schritt 4 – Cloud-Apps & Schatten-IT: Zum Schluss sichtbar machen, welche Cloud-Dienste Ihre Leute überhaupt nutzen – auch die nicht freigegebenen. Defender macht riskante Apps sichtbar, damit Firmendaten nicht still in privaten Tools landen.
Den Datenschutz-Teil – AVV, EU-Datenresidenz, DSGVO-konforme Einstellungen – behandeln wir bewusst getrennt. Wer dort tiefer einsteigen will, findet alles in unserem Leitfaden zu Microsoft 365 Sicherheit & DSGVO.
Defender ist kein Backup – diese Lücke wird teuer übersehen
Microsoft 365 funktioniert nach dem Prinzip der geteilten Verantwortung. Microsoft schützt die Plattform und das Rechenzentrum. Für Ihre Konten, Ihre Daten und Ihre Einstellungen sind Sie zuständig. Defender deckt das Erkennen und Stoppen von Angriffen ab – nicht die Wiederherstellung.
Das wird gefährlich, sobald jemand Daten löscht oder Ransomware durchkommt. Microsoft hält gelöschte Inhalte nur begrenzt vor:
Nach diesen Fristen sind die Daten weg. Gegen Ransomware oder versehentliches Löschen hilft nur ein eigenes, regelmäßig getestetes Backup – getrennt von der Microsoft-Cloud. Wie das aussieht, zeigen wir bei Cloud-Backup & Datensicherung und in unserem Service Backup & Datensicherung.
Wann sich Defender for Business lohnt – und wann mehr
Nicht jede Firma braucht denselben Umfang. Eine grobe Orientierung nach Mitarbeiterzahl:
| Unternehmensgröße | Empfehlung |
|---|---|
| Unter 50 Mitarbeiter | Business Premium mit Defender for Business, sauber konfiguriert und betreut – das reicht. |
| 50 bis 250 Mitarbeiter | Defender for Business plus zentrale Überwachung; Microsoft Sentinel (SIEM) wird langsam sinnvoll. |
| 250+ Mitarbeiter mit eigenem Security-Team | Defender for Endpoint Plan 2, Sentinel und ggf. Security Copilot werden zum Werkzeug. |
Security Copilot kostet realistisch ab etwa 35.000 US-Dollar im Jahr – das lohnt sich erst ab rund 250 Mitarbeitern mit eigenem Team. Für den typischen Hamburger Mittelständler ist die Antwort fast immer: Business Premium konsequent scharf schalten, statt teure Extras zu kaufen, die niemand nutzt. Mehr dazu in unserem Beitrag, wie Sie die Kostenfalle bei Security Copilot vermeiden und im Überblick zu Microsoft 365 Kosten & Pakete 2026.
Defender XDR ist dabei das Dach über den einzelnen Defender-Bausteinen: Es führt die Signale aus E-Mail, Identität, Geräten und Cloud-Apps in einer koordinierten Bedrohungsschutz-Ansicht zusammen. Statt vier getrennte Konsolen zu beobachten, sehen Sie einen zusammenhängenden Angriff als eine Geschichte.
Aus der Praxis
Wir starten jede Zusammenarbeit mit einem ehrlichen Blick auf den Ist-Zustand – und finden fast immer ungenutzten Schutz, der längst bezahlt ist.
Die meisten unserer Neukunden haben Microsoft 365 bereits – nutzen aber nur E-Mail und vielleicht Word. Da liegt so viel Potenzial brach: Teams, SharePoint, Intune, Defender. Wir helfen, das freizuschalten.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Wie konkret das wird, zeigt ein Beispiel aus Hamburg: In einem 60-Minuten-Audit bei einem Betrieb in der Spaldingstraße fanden wir drei kritische Risiken auf einmal – einen Server jenseits der Garantie, ein nie getestetes Backup und geteilte Logins zwischen Büro und Werkstatt. Die Business-Premium-Lizenzen lagen längst vor; den Schutz hatte nur nie jemand scharf geschaltet.
Wie wichtig die Reihenfolge ist, bestätigt sich im Alltag immer wieder – gerade bei der Identität:
Wir wären ein leichtes Opfer – das weiß ich. Da hätte ich gerne einen verlässlichen Partner, der davon mehr versteht als ich als Laie.
Wenn Sie wissen wollen, ob diese fünf Punkte in Ihrem Tenant grün sind, schauen wir gemeinsam drauf – das ist Teil unserer Managed IT Services und passt sowohl zu vollständig betreuten als auch zu Co-Managed IT-Setups, bei denen Sie ein eigenes IT-Team haben. Für Betriebe in der Region sind wir als IT-Systemhaus Hamburg direkt vor Ort.
Ihr nächster Schritt
Defender for Business ist kein Produkt, das Sie noch kaufen müssen – es liegt in fast jeder Business-Premium-Umgebung bereit. Die einzige Frage ist, ob er bei Ihnen tatsächlich läuft. In einem kurzen Check sehen wir innerhalb von Minuten, welche der vier Schichten scharf sind und welche noch schlafen.
Wie sicher ist Ihre Microsoft-365-Umgebung wirklich?
15 Minuten. Kostenlos. Ohne Vertriebsdruck.
Security-Check anfragen →Vereinbaren Sie ein kostenloses 15-Minuten-Erstgespräch – wir sagen Ihnen ehrlich, ob Sie schon geschützt sind oder nur dafür bezahlen.
